2007年9月14日 星期五

無線網路的延伸與安全(Security of WDS)

現在無線網路的風行,算是一股無法檔的風潮,只要能減少電腦後方的線材,再加上誘人的便利性,這些都是造成流行的因素之一

雖然我先前也有討論過無線網路的設定,可是對於無線網路的擴充,並沒有談論太多(主要是針對設定部份說明),有些特殊的情況,光是一台無線AP的穿透能力距離限制,並不足整個特定區域使用時,就得考慮無線網路的擴充(WDS

其實對一般家用的AP來說,真的沒有什麼機會用WDS的功能(雖然AP的穿透力都偏低,但有時也是件好事),但是廠區內部或特定區域的使用上,就具一定的價值(例:透過AP把兩個距離較遠的辦公區串連起來,尤其是有重機械經過的廠區...)。

首先,我還是先介紹一下WDS的設定必須具備那些條件

1.兩台AP都有WDS的功能:現在的AP大多具備(市面上還是有舊機種存在)。
2.兩台AP的 CHANNEL(通道)、WIRELESS MODE(連線模式)都需相同。
3.兩台AP的SSID(辨識名稱)可設為相同不同,視應用不同而定。
3.兩台AP要把對方的MAC ADDRESS寫在內部設定檔中。
4.兩台AP只有一台能夠設定DHCP SERVER
5.兩個AP的安全機制也要相同。(這一點就是安全性中最大的問題!!)

補充:一般AP的模式可分為AP ONLYWDS ONLYHYBRID三種,分別為:
   AP ONLY:僅做為ACCESS POINT,提供無線上網的功能。
   WDS ONLY:僅串接無線AP,讓兩端的LAN得以連接。
   HYBRID:同時做AP和WDS的功能,串連兩端的LAN,也提供上網服務。

有人會說:「為什麼我不寫WDS的安裝流程呢?」(節省網路資源)

其實是因為現在網路上的相關資訊已經蠻多了,想要找到詳細步驟的人可以上Google打個「WDS」,應該就可以找到一堆資料(連圖文說明的都有!),所以筆者就不再多加詳述,這裡主要是來探討安全性的問題。

WDS的主要優點

1.解決不易建置實體線路的地形限制。
2.減少實體線路的維護成本(含安裝及查修時間及人力多寡)。

WDS的主要缺點

1.頻寬使用率降低:使用同一通道(CHANNEL),會有重複傳送的問題。
  例:WDS中,1人使用的頻寬為單一AP的1/2;2人使用只剩1/4...。

2.安全性的考量:這就是WDS的致命傷,包含的因素有...
 (1)SSID:AP能夠隱藏彼此的SSID嗎?還是一定要使用SSID廣播?
 (2)WEP/WPA:目前只能WEP或WPA-PSK加密,WPA2-TKIP或AES不能用。

對於無線網路的安全性,對於有使用無線網路的人來說,其實是最應該要注意的部份,可是在WDS的建構之下,卻只能遷就於便利性,來達成區網間的連接。

據筆者實際在網路上得到的資訊,現在的WEP、WEP-PSK、甚至是WPA(1)的無線網路加密,都可以再合理的時間內破解(只要有相關軟體,甚至不需什麼高深的技巧),光是這一點就足以讓人怯步。

合理的時間是多久呢?

只要你的SSID、加密模式被人得知(例:WEP),不用一天的時間,你的AP就成了公用熱點,如果允許無線的用戶共享資源,影響層面會更廣(開後門,時有所聞)。

現在有些人會說,只要隱藏SSID鎖MAC ADDRESS、使用WPA(PSK)加密(非WPA2-AES),甚至是降低AP功率等方式,對大多數的人來說,也許能夠阻擋大部份的攻擊或惡意測試(因為其它的設定太過繁瑣舊型網卡不支援)。

但是,手中握有相關程式的玩家(例:Airxxxx系列軟體),真的要突破「隱藏SSID、改MAC ADDRESS、破WEP(WPA-PSK)」,對它們來說,真的沒有太高的門檻,光是人性的誘因,就足以讓你防範不完了!

所以,WDS不是不能使用,而是安全性的顧慮!

如果你架設WDS的地方,方圓500M內沒有其它的遮蔽物的話,你當然可以比較放心的使用(雖然還是有功率放大器,可以抓到更遠距離的AP餘波)。

不然在無線網路的使用上,除了隱藏SSID、鎖MAC ADDRESS之外,請至少使用WPA-AES以上的加密法吧!雖然還是有可能被破解,但是對方要付出的代價也不輕(光是數以百計的小時數就夠瞧了!)

雖然AP互連的安全性問題,有機會在IEEE 802.11s(還未有實際產品,更何況是種先有產品再行定義標準的狀態)或RADIUS或相關機制中能得到解決,但是在建構的成本卻也相對墊高許多,著實是兩難的局面,只能取決於安全與預算之間。